所有子域名均重定向至 HTTPS

所有子域名均重定向至 HTTPS

我有一个根域(https://kernl.us),该域名通过 Let's Encrypt SSL 证书进行保护。这可以正常工作,但是当我尝试转到新的子域 (http://status.kernl.us) Chrome 将我重定向到 HTTPS。子域名是指向 Pingdom 状态页面的 CNAME 记录。我无法控制它的 HTTP/S 状态。

如果我打开 Firefox,则不会出现 HTTPS 重定向。我怀疑这与 Let's Encrypt SSL 证书和 Chrome 中的某些存储行为有关,但我不知道从哪里开始查找。

我找到了这个:https://community.letsencrypt.org/t/every-subdomain-is-redirecting-to-https-even-non-existent-ones/18095这似乎是我的问题,但我的 Nginx 配置没有设置任何HSTS设置。

有任何想法吗?

Nginx 配置

server {
    listen 443;
    server_name kernl.us;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/kernl.us/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/kernl.us/privkey.pem; # managed by Certbot

    ssl_session_timeout 30m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!DH;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:30m;

    location /static/ {
        autoindex on;
        expires 7d;
        gzip on;
        gzip_vary on;
        gzip_min_length 256;
        gzip_proxied expired no-cache no-store private auth;
        gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;
        gzip_disable "MSIE [1-6]\.";
        root /var/www/kernl/kernl/public/;
    }

    location / {
        proxy_pass http://backend;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
        add_header X-Nginx-Server 'nginx1';
        add_header X-Upstream $upstream_addr;
    }
}

答案1

如果你看这里:https://hstspreload.org/?domain=kernl.us或者这里:https://www.ssllabs.com/ssltest/analyze.html?d=kernl.us&hideResults=on您可以看到 HATS 已预加载(即硬编码)到 Chrome 代码中。

通常情况下,您需要发布 HSTS 标头才能实现这一点,他们可能会将其从代码中删除,因为此域不再执行此操作。您这样做了吗?或者您是此域的前所有者或管理员吗?

因此,我担心从现在起,这个域名和子域名基本上都只能使用 HTTPS。至少在 Chrome 删除此代码并且所有用户都停止使用带有该代码的任何版本的 Chrome 之前。

相关内容